Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.15)

CVE-2026-47316
Średnie

Podatność CVE-2026-47316 w Samsung Open Source Escargot wynika z niewłaściwego sprawdzania lub obsługi wyjątkowych warunków, co umożliwia manipulację danymi wejściowymi. Problem ten dotyczy wersji Escargot: 590345cc6258317c5da850d846ce6baaf2afc2d3.

CVE-2026-47315
Średnie

Podatność CVE-2026-47315 w Samsung Open Source Escargot polega na niewłaściwej weryfikacji nietypowych lub wyjątkowych warunków, co umożliwia manipulację danymi wejściowymi.

CVE-2026-47313
Średnie

Podatność w Samsung Open Source Escargot związana z alokacją pamięci z nadmierną wartością rozmiaru pozwala na nadmierną alokację. Problem dotyczy wersji Escargot: 590345cc6258317c5da850d846ce6baaf2afc2d3.

CVE-2026-47312
Średnie

W podatności CVE-2026-47312 występuje uwolnienie nieprawidłowego wskaźnika lub odniesienia w Samsung Open Source Escargot, co umożliwia manipulację buforem. Problem ten dotyczy wersji Escargot: 590345cc6258317c5da850d846ce6baaf2afc2d3.

CVE-2026-8830
Średnie

W Keycloak znaleziono lukę, która pozwala uwierzytelnionemu użytkownikowi ominąć skonfigurowane polityki WebAuthn podczas rejestracji poświadczeń poprzez manipulację kodem JavaScript po stronie klienta. Dzieje się tak, ponieważ serwerowa metoda processAction() nie weryfikuje, czy parametry nowo utworzonego poświadczenia, takie jak algorytmy klucza publicznego, są zgodne z politykami WebAuthn zdefiniowanymi dla domeny.

CVE-2026-47309
Średnie

Podatność na niekontrolowaną rekurencję w Samsung Open Source Escargot umożliwia przetwarzanie zbyt dużych ładunków danych zserializowanych. Problem ten dotyczy wersji Escargot: 590345cc6258317c5da850d846ce6baaf2afc2d3.

CVE-2026-47308
Średnie

Podatność związana z dereferencją wskaźnika NULL w Samsung Open Source Walrus umożliwia manipulację wskaźnikami. Problem ten dotyczy wersji Walrus: f339b8ee4ea701772e8ae640b3d1b12ac02b1ae9.

CVE-2026-47307
Średnie

Podatność typu dereferencja wskaźnika NULL w Samsung Open Source Walrus umożliwia atakującemu spowodowanie odmowy usługi poprzez specjalnie przygotowany moduł WebAssembly zawierający głęboko zagnieżdżone instrukcje.

CVE-2026-33514
Średnie

Discourse to otwartoźródłowa platforma dyskusyjna. W wersjach przed 2026.1.4, 2026.3.1, 2026.4.1 i 2026.5.0-latest.1, uwierzytelniony użytkownik na instancji Discourse z włączoną funkcją szablonów formularzy może odczytać nazwę i strukturalną zawartość szablonów formularzy, które są przeznaczone wyłącznie dla kategorii, do których nie ma uprawnień dostępu.

CVE-2026-32244
Średnie

Discourse to otwartoźródłowa platforma dyskusyjna. W wersjach wcześniejszych niż 2026.1.4, 2026.3.1, 2026.4.1 oraz 2026.5.0-latest.1, przestarzałe pamięci podręczne podsumowań AI mogą ujawniać usunięte treści anonimowym i nieuprzywilejowanym użytkownikom, którzy nie mają możliwości regeneracji podsumowań.

CVE-2026-47090
Średnie

Podatność w Claude HUD do wersji 0.0.12 (załatana w commicie 234d9aa) pozwala na wstrzyknięcie dowolnych kodów ANSI do sesji terminala poprzez nieprawidłowe konstruowanie sekwencji ucieczki OSC 8 dla hiperłączy. Atakujący może umieścić złośliwe sekwencje ESC+backslash w bieżącym katalogu roboczym lub adresie URL gałęzi, co prowadzi do wykonania niebezpiecznych kodów ANSI, takich jak zmiana koloru tekstu, fałszywe monity, zapis do schowka przez OSC 52 lub wywołanie żądań HTTP do zdalnych serwerów po kliknięciu hiperłącza.

CVE-2026-45246
Średnie

Podatność w Summarize przed wersją 0.15.1 dotyczy niebezpiecznych uprawnień plików podczas przepisywania konfiguracji w ścieżce odświeżania bez przeładowania. Powoduje to, że plik konfiguracyjny zawierający klucze API i dane uwierzytelniające dostawcy jest tworzony z domyślnymi uprawnieniami maski procesu, zamiast zachowywać oryginalne uprawnienia, co umożliwia lokalnym użytkownikom odczyt wrażliwych danych.

CVE-2026-45244
Średnie

Wtyczka Summarize przed wersją 0.15.1 zawiera brak autoryzacji, umożliwiający atakującym wykonywanie automatyzacji przeglądarki bez zgody użytkownika na każde wywołanie, gdy funkcja automatyzacji rozszerzenia jest włączona. Atakujący mogą wpływać na agenta poprzez złośliwą stronę lub treść podsumowania, aby wywołać włączone narzędzia automatyzacji rozszerzenia, takie jak nawigacja lub akcje oparte na debuggerze, omijając końcowy krok zatwierdzenia przez użytkownika podczas interakcji z treścią kontrolowaną przez atakującego.

CVE-2026-45243
Średnie

Podatność w Summarize przed wersją 0.15.1 wynika z braku autoryzacji w moście window.postMessage skryptu treści, co pozwala złośliwym stronom na nieautoryzowane operacje na artefaktach automatyzacji. Atakujący mogą symulować wiadomości runtime ze sfałszowanymi identyfikatorami nadawcy, aby wyświetlić, odczytać, utworzyć, nadpisać lub usunąć artefakty automatyzacji przypisane do danej karty bez odpowiednich kontroli autoryzacji.

CVE-2026-45231
Średnie

DumbAssets do wersji 1.0.11 zawiera podatność na trwałe ataki XSS w polach zasobów (nazwa, opis, modelNumber, serialNumber, tagi). Wartości są przechowywane bez sanityzacji po stronie serwera i renderowane przez innerHTML bez escapowania po stronie klienta. Atakujący mogą tworzyć lub aktualizować zasoby z ładunkami HTML/JavaScript przez API, co pozwala na wykonanie dowolnego skryptu w przeglądarkach użytkowników przeglądających listę zasobów.

CVE-2026-32849
Średnie

W systemie NetBSD przed commit ec8451e wykryto podatność na przepełnienie liczby całkowitej ze znakiem w funkcji cryptodev_op() w pliku sys/opencrypto/cryptodev.c. Zmienna lokalna iov_len jest zadeklarowana jako typ signed int, ale przypisywana z niepodpisanej wartości cop->dst_len, co prowadzi do niezdefiniowanego zachowania, gdy cop->dst_len przekracza INT_MAX.

CVE-2026-32848
Średnie

W systemie NetBSD przed commit-em ec8451e wykryto podatność na wyścig w funkcji cryptodev_op() w podsystemie opencrypto. Lokalny atakujący może równocześnie wysyłać operacje CIOCCRYPT na tym samym identyfikatorze sesji na maszynach SMP, co prowadzi do podwójnego zwolnienia pamięci (double-free).

CVE-2026-20685
Średnie

Podatność umożliwia atakującemu w uprzywilejowanej pozycji sieciowej wyciek wrażliwych informacji. Problem związany z obsługą ścieżek został rozwiązany poprzez poprawioną walidację.

CVE-2026-41949
Średnie

Dify przed wersją 1.14.2 zawiera lukę w autoryzacji w punkcie końcowym podglądu plików, która pozwala każdemu uwierzytelnionemu użytkownikowi na odczytanie do 3,000 znaków z dowolnego przesłanego dokumentu, używając jedynie UUID pliku. Atakujący mogą uzyskać dostęp do końcowego punktu /console/api/files/{file_id}/preview, aby wydobyć wrażliwe treści z dokumentów bez weryfikacji własności lub uprawnień do przestrzeni roboczej.

CVE-2026-3471
Średnie

Aplikacje Mattermost Desktop w wersjach <=6.1, 6.0.1 oraz 5.4.13.0 nie zapobiegają ładowaniu nieprawidłowego URL w oknie pop-up, co pozwala złośliwemu właścicielowi serwera na wielokrotne awarie aplikacji poprzez wywołanie {{window.open('javascript:alert()');}}.

PoprzedniaStrona 269 z 606Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS